微软发现 macOS 漏洞可让黑客访问用户私人数据

据BleepingComputer消息，苹果最近解决了一个由微软发现的macOS系统漏洞，该漏洞允许拥有root权限的攻击者绕过系统完整性保护(SIP)以安装不可删除的恶意软件，并通过规避透明度同意和控制(TCC)安全检查来访问受害者的私人数据。该漏洞被称为Migraine，由一组微软安全研究人员发现并报告给苹果，现在被追踪为CVE-2023-32369。苹果已在两周前的5月18日发布的macOSVentura13.4、macOSMonterey12.6.6和macOSBigSur11.7.7安全更新中修补了该漏洞。系统完整性保护(SIP)是一种macOS安全机制，可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件，其运作原则是只有由Apple签名或拥有特殊权限的进程（例如Apple软件更新和安装程序）才被授权更改受macOS保护的组件。此外，如果不重新启动系统并启动macOSRecovery（内置恢复系统），就无法禁用SIP，这需要对已经受损的设备进行物理访问。然而，微软的研究人员发现，拥有root权限的攻击者可以通过滥用macOS迁移助手实用程序来绕过SIP安全实施。研究证明，拥有root权限的攻击者可以使用AppleScript自动执行迁移过程，并在将其添加到SIP的排除列表后启动恶意负载，而无需重新启动系统和从macOSRecovery启动。任意绕过SIP会带来重大风险，尤其是在被恶意软件利用时，包括创建无法通过标准删除方法删除的受SIP保护的恶意软件。此外攻击面也得到扩大，并可能允许攻击者通过任意内核代码执行来篡改系统完整性，并可能安装rootkit以隐藏安全软件中的恶意进程和文件。绕过SIP保护还可以完全绕过TCC策略，使攻击者能够替换TCC数据库并获得对受害者私人数据的无限制访问权限。已非第一次发现macOS漏洞这不是微软研究人员近年来报告的第一个此类macOS漏洞。2021年，微软报告了一个名为Shrootless的SIP绕过漏洞，允许攻击者在受感染的Mac上执行任意操作，将权限提升为root，并可能在易受攻击的设备上安装rootkit。最近，微软首席安全研究员JonathanBarOr还发现了一个名为Achilles的安全漏洞，攻击者可以利用该漏洞绕过Gatekeeper对不受信任应用的限制，以此来部署恶意软件。他还发现了另一个名为powerdir的漏洞，可以让攻击者绕过TCC来访问用户的受保护数据。